Weblogic wls9-async反序列化远程代码执行漏洞(2018年送彩金网站大全2019-2725)漏洞分析

这个漏洞最先由某厂商报给某银行,某银行再将该信息报给CNVD,后CNVD通告:国家信息安全漏洞共享平台(CNVD)收录了由该银行报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814),详情见链接:cnvd 对于该漏洞,Oracle官方也破例了一回,提前发了补丁,但是这个补丁只是针对10.3.6系列的,对于12版本系列还未披露补丁。所以还是请各位谨慎对待,勒索大军跃跃欲试。

阅读全文 “Weblogic wls9-async反序列化远程代码执行漏洞(2018年送彩金网站大全2019-2725)漏洞分析” »

SA-CORE-2019-004 Drupal内核从XSS到RCE漏洞分析及利用

3月20日,Drupal官方发布SA-CORE-2019-004漏洞预警,修复了一处文件名处理异常,当我们上传特殊文件名时可以绕过限制在服务器上创建“无后缀”文件,精心构造的文件经过浏览器解析后可以触发XSS漏洞,再进一步可以达到代码执行的目的。官方描述该漏洞为中危影响,因为该漏洞需要登录,并且需要作者权限来上传文件才能触发。

阅读全文 “SA-CORE-2019-004 Drupal内核从XSS到RCE漏洞分析及利用” »

绿盟科技互联网安全威胁周报NSFOCUS-19-17

绿盟科技发布了本周安全通告,周报编号NSFOCUS-19-17, 绿盟科技漏洞库 本周新增33条,其中高危6条。本次周报建议大家关注Symantec Endpoint Protection Manager 本地权限提升漏洞,Symantec Endpoint Protection Manager(SEPM)防病毒软件的管理端。Symantec Endpoint Protection Manager 12.1 RU6 MP10及之前版本、14.2 RU1之前版本存在一个本地权限提升漏洞,允许攻击者在应用中执行任意代码。目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

阅读全文 “绿盟科技互联网安全威胁周报NSFOCUS-19-17” »

新形势下的数据保护

近年来,我国政府高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用。2015年9月国务院印发的《促进大数据发展行动纲要》指出,“数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”2016年3月发布的“十三五规划纲要”还专章提出“实施国家大数据战略”,明确我国将“把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。”2017年6月1日,正式实施《网络安全法》的网络安全法,对数据安全和个人数据保护也给予了足够的关注。

阅读全文 “新形势下的数据保护” »

等保2.0来了,用户怎样才能不“挂科”?

根据《网络安全法》规定“国家实行网络安全等级保护制度”。等级保护作为我国在网络安全方面的基本制度将长期实行下去。等级保护2.0时代,行业单位未落实网络安全等级保护义务将有可能面临被有关部门责令整改、行政处罚、暂停注册、暂停运营的风险。

阅读全文 “等保2.0来了,用户怎样才能不“挂科”?” »